Operation Highland: Come Velvet Ant si è nascosta nel login di Linux per un decennio

Invece di rilasciare malware personalizzato che scanner e sistemi di rilevamento endpoint avrebbero potuto prima o poi identificare, Velvet Ant ha sovvertito l'architettura di fiducia del sistema operativo. Su decine di host, il gruppo ha sistematicamente sostituito i componenti fondamentali dell'autenticazione Linux Nello specifico, il modulo di autenticazione pluggable pam_unix.so e diversi binari di OpenSSH con versioni trojanizzate .

Da un singolo impianto derivavano due capacità distinte:

1. Scavalcamento con password universale. I moduli contaminati contenevano una password segreta cablata nel codice. Qualsiasi account utente poteva essere accessibile usando solo questa password, aggirando completamente la normale autenticazione. Anche se gli amministratori avessero ruotato tutte le credenziali, gli aggressori avrebbero potuto comunque entrare indisturbati .
2. Raccolta silenziosa di credenziali. Ogni evento di login legittimo veniva catturato in tempo reale. Le password in chiaro di ogni utente che si autenticava venivano scritte in un file nascosto situato in /usr/share/awk/nullfile.awk. Questo ha permesso a Velvet Ant di collezionare credenziali valide dell'intera base utenti senza generare il rumore di rete tipico di un movimento laterale .

Perché la bonifica standard ha fallito

I tradizionali manuali di incident response non sono pensati per un nemico che ha ricompilato i binari di login del tuo sistema operativo. Il report di Sygnia chiarisce perché i primi tentativi di bonifica fallirono:

• Lacuna di bonifica. La procedura standard rimuovere file sospetti, terminare processi malevoli, ruotare tutte le password non ha avuto alcun effetto sul principale meccanismo di persistenza degli aggressori. Il modulo pam_unix.so e i binari SSH trojanizzati erano file di sistema legittimi a tutti gli effetti, tranne che nella loro logica compilata .
• Mascheramento dei metadati. Gli aggressori hanno preservato nomi, percorsi, timestamp e dimensioni approssimativamente uguali a quelli dei file originali. Qualsiasi controllo di integrità dei file basato solo sui metadati, una pratica comune in molti ambienti aziendali non vedeva nulla di anomalo .
• Inutilità della rotazione delle password. Poiché la password universale era cablata all'interno del modulo di autenticazione stesso, resettare le credenziali di ogni utente non è servito a bloccare l'avversario .
• Progettazione auto-ripristinante. Le prove raccolte durante l'indagine indicano che la backdoor era stata progettata per sopravvivere a bonifiche parziali. Se il team di sicurezza puliva alcuni host ma lasciava la pila di autenticazione compromessa su altri, il gruppo poteva muoversi lateralmente e ricompromettere le macchine ricostruite .

Il passo finale di bonifica di Sygnia è stato inequivocabile: la rete ha richiesto una ricostruzione completa del sistema operativo di ogni host coinvolto, usando supporti di sola lettura notoriamente integri. La rimozione selettiva di file o la ri-generazione parziale dell'immagine erano insufficienti .

Il modello operativo

Il successo di Velvet Ant non si basa su catene di attacco esotiche. Piuttosto, il gruppo dimostra un manuale operativo maturo, incentrato sulla pazienza e sul camuffamento a livello di autenticazione.

Attribuzione e attività correlate

Sygnia attribuisce l'Operation Highland a Velvet Ant con alta confidenza e collega il gruppo a obiettivi di spionaggio di stato cinesi . Il gruppo si concentra su grandi organizzazioni dell'Asia orientale, in particolare fornitori di telecomunicazioni e infrastrutture critiche .

Campagne precedenti e parallele forniscono un contesto aggiuntivo. In un caso separato, Velvet Ant ha usato vecchi appliance F5 BIG-IP come proxy di comando e controllo (C2) per almeno tre anni, prima che l'indagine di Sygnia scoprisse l'attività . Il gruppo è stato anche osservato mentre utilizzava i malware PlugX e ShadowPad durante intrusioni precedenti, il che indica un arsenale ampio che spazia sia tra capacità personalizzate che pubblicamente disponibili .

Cosa dovrebbero fare subito i difensori

La lezione di difesa più importante di Operation Highland è che la tradizionale protezione degli endpoint e la rotazione delle credenziali non bastano, quando è la stessa pila di autenticazione a non essere più affidabile.

I difensori dovrebbero dare priorità al monitoraggio dell'integrità dei file, che confronti gli hash crittografici dei binari di sistema critici inclusi /lib/security/pam_unix.so e i binari del demone SSH con delle baseline note e integre, non limitandosi ai soli metadati. Anche il centralizzare tutti gli eventi di autenticazione su un sistema esterno e immutabile è essenziale, perché un aggressore con accessi sufficienti può manomettere i log presenti sull'host. L'autenticazione a più fattori resta una barriera preziosa, ma non protegge direttamente da un servizio PAM manomesso che aggira completamente i controlli di autenticazione.

Operation Highland dimostra che la persistenza più pericolosa non assomiglia affatto a un malware… assomiglia alla schermata di login di cui ti fidi ogni giorno.